Suche "leffer" > JurPC Web-Dok. 150/2018 - DOI 10.7328/jurpcb20183311150

Lena Leffer, Karin Potel *

Hacking-Session beim 27. EDV-Gerichtstag - Praktische Demonstration zur IT-Sicherheit

JurPC Web-Dok. 150/2018, Abs. 1 - 31


Vom 19.09.2018 bis zum 21.09.2018 fand zum 27. Mal der EDV-Gerichtstag an der Universität des Saarlandes statt. Die Tagung ist die bundesweit größte Veranstaltung dieser Art – auch in diesem Jahr sind die Besucherzahlen erneut stark angestiegen. Den Auftakt des jährlich stattfindenden Kongresses bildete wie auch in den Vorjahren das sogenannte HackerCamp.Abs. 1
Der praktische Anwendungsteil des EDV-Gerichtstages lockte erneut über zweihundertfünfzig Teilnehmer mit Vorträgen und Live-Demonstrationen zu aktuellen Themen. Dabei war die diesjährige Veranstaltung in zwei Themenbereiche aufgegliedert: einen Einführungsteil zu den Grundlagen der IT-Sicherheit und einen Vertiefungsteil.Abs. 2
Die vortragenden Repräsentanten aus Praxis und Wissenschaft konnten auch dieses Mal Teilnehmer aus Justiz, Rechtsanwaltschaft, Verwaltung und Wirtschaft versammeln. Dabei steht der Anspruch im Vordergrund, praktisches und theoretisches Wissen über IT-Sicherheitsprobleme zu vermitteln und mögliche Lösungsansätze vorzustellen. Dadurch soll das Gefährdungsbewusstsein der Anwesenden geschult werden.Abs. 3
Das HackerCamp lebt dabei nicht nur von den Beiträgen der Vortragenden, sondern gerade auch von den daraus entstehenden Diskussionen zwischen den Anwesenden. Anstoß für weitere Verbesserungen in der interdisziplinären Forschung lieferte vor allem die in diesem Jahr verstärkt geführte Diskussion über IT-Sicherheit in der Justiz. Besonderes Augenmerk muss dabei auch immer wieder auf den Umstand gelegt werden, dass in ausgeklügelten informationstechnischen Systemen der Mensch die größte „Schwachstelle" darstellt. Das HackerCamp soll für die zentralen Fragestellungen der Digitalisierung neue Denkanstöße liefern und engmaschigere Verbindungslinien zwischen Recht und Technik knüpfen. Dabei kommt der Umstand zum Tragen, dass die Erfahrungsberichte aus der Praxis die weitere technische Entwicklung beeinflussen und dadurch ein agiles Zusammenspiel aus Anwendung und Wissenschaft erzielt wird. Abs. 4
Daneben bietet das HackerCamp für Rechtsanwälte auch einen berufsbezogenen Aspekt: Die Teilnahme an der Veranstaltung wird als Fortbildung im Sinne des § 15 FAO anerkannt.Abs. 5
Im nachfolgenden Beitrag sollen nun die einzelnen Themen des diesjährigen HackerCamps „Hacking Session – Praktische Demonstrationen zur IT-Sicherheit" kurz vorgestellt werden.Abs. 6

Das Programm des HackerCamps

Abs. 7
Wie bereits in den vergangenen Jahren wurde auch das diesjährige HackerCamp von Prof. Dr. Christoph Sorge, Inhaber der juris-Stiftungsprofessur an der Universität des Saarlandes und assoziiertes Mitglied des Center for IT-Security, Privacy and Accountability (CISPA) Helmholtz-Zentrum i. G., eröffnet. Prof. Dr. Christoph Sorge hieß zunächst als Mitglied des Vorstandes des EDV-Gerichtstages die zahlreichen Teilnehmer im Saarland willkommen.Abs. 8
Nach einem kurzen Rückblick auf die Ergebnisse des letztjährigen EDV-Gerichtstages betonte Prof. Dr. Sorge nochmals die Bedeutung des Begriffs „Stand der Technik". Gerade dieser treibt den Digitalisierungsprozess in der Justiz weiter voran, weshalb ein interdisziplinäres Zusammenwirken zwischen Recht und Technik unerlässlich ist. Gerade das vergangene Jahr habe gezeigt, dass der IT-Sicherheit in Justiz und Verwaltung immer mehr Aufmerksamkeit zuteil wird und diese somit verstärkt in den Fokus der Öffentlichkeit gerückt ist. Abs. 9
Anschließend übergab er das Wort an Frederik Möllers.Abs. 10
Frederik Möllers ist wissenschaftlicher Mitarbeiter bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und Geschäftsführer der Defendo GbR Möllers & Hessel (www.defendo.it).Abs. 11
Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sind die Techniken der Anonymisierung und Pseudonymisierung wieder verstärkt Gegenstand wissenschaftlicher Diskussionen. Um den Zuhörern die nötige Begriffstrennschärfe vor Augen zu führen, grenzte der Informatiker zunächst die Begriffe voneinander ab. Während es bei der Pseudonymisierung noch möglich ist, Daten einer bestimmten – aber nicht mehr identifizierbaren – Person zuzuordnen, wird bei der Anonymisierung jeder Personenbezug entfernt.Abs. 12
Dies sei entscheidend für die Anwendbarkeit der DSGVO, welche jedenfalls nach Art. 4 DSVGO nur für pseudonymisierte und nicht für anonymisierte Daten gilt. Abs. 13
Herr Möllers stellte anhand einer medizinischen Studie dar, dass pseudonymisierte Daten unter Umständen mehr über die Identität einer Person verraten können als gedacht oder von der veröffentlichenden Person gewollt. So können andere Quellen verknüpfbare Informationen liefern, die zu einer „Quasi-Identifikation" führen können. Dabei kommt es nur auf die Kombinierbarkeit der Daten und nicht auf die Datenmenge an. Die Pseudonymität einzigartiger Datenkombinationen könne insbesondere dadurch geschützt werden, dass durch das Hinzufügen von für den eigentlichen Aussagegehalt belangloser Daten eine Art „Datenrauschen" erzeugt werde. Abs. 14
Zum Abschluss seiner Präsentation gab Herr Möllers noch einige Hinweise für Verantwortliche.Abs. 15
Stefan Hessel ist wissenschaftlicher Mitarbeiter bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und zusammen mit Herrn Möllers Geschäftsführer der Defendo GbR Möllers & Hessel (www.defendo.it), die Justiz, Anwaltschaft und Unternehmen in Datenschutz- und IT-Sicherheitsfragen berät. Zudem ist er seit März 2018 Rechtsreferendar beim saarländischen Oberlandesgericht.Abs. 16
Eine wichtige Methode, um Daten vor unberechtigtem Zugang zu schützen, ist die Authentifizierung. Sie ist ein Überbegriff für üblicherweise mehrere Prozesse, die bei der Identitäts- und Legitimationsprüfung in einem Computersystem ablaufen. Dabei ist zu differenzieren zwischen dem ersten Schritt der Authentisierung, an den sich die eigentliche Authentifizierung anschließt und letztlich die abschließende Autorisierung erfolgt. Durch die Authentisierung wird der Nachweis der Identität durch den Nutzer an einem System beschrieben. Im Rahmen der anschließenden Authentifizierung wird durch das System der Identitätsnachweis überprüft. Sofern die erforderliche Berechtigung vorliegt, wird durch die Autorisierung dem Nutzer Zugriff auf bestimmte Ressourcen gewährt. Die Möglichkeiten des Identitätsnachweises sind beschränkt auf folgende Kategorien:Abs. 17
Es bestehen drei Möglichkeiten zum Identitätsnachweis (Authentisierung): „Wissen" (z. B. Passwörter), „Besitz" (z. B. Token) und „Sein" (z. B. biometrische Merkmale).Abs. 18
Passwörter gelten als das bislang am häufigsten verwendete Werkzeug. Dies wird von dem Umstand getragen, dass sie zumeist günstig in der Herstellung sind und beliebig oft reproduziert werden können. Sodann führte Herr Hessel aus, unter welchen Voraussetzungen ein Passwort heute als sicher gelte.Abs. 19
Token, die sich der Authentisierungskategorie des „Besitzes" zuordnen lassen, sind im Vergleich zu Passwörtern weniger verbreitet. Dies liegt daran, dass der Entwicklungs- und Ausstellungsaufwand regelmäßig höher ist. Sie werden aufgrund der hohen Verlustgefahr selten alleine als Authentisierungsmerkmal verwendet. Stattdessen nutzt man sie häufig im Rahmen der sogenannten Zwei-Faktor-Authentisierung. Bei dieser werden zwei verschiedene Authentisierungsmerkmale verknüpft (z. B. das Token mit einem Passwort). Im Bereich der Kategorie „Sein" kommen regelmäßig biometrische Merkmale wie Fingerabdrücke, Netzhautscans oder DNA zum Einsatz. Der Einsatz sei jedoch nicht unproblematisch. Abs. 20
Abschließend lasse sich feststellen, dass Passwörter nach wie vor das beste Mittel der Authentisierung seien. Das beste Passwort sei jedoch nutzlos, wenn das System Sicherheitslücken aufweise.Abs. 21
Dr. Jessika Schwecke vertrat als Referentin die Bundesnetzagentur. Sie ist juristische Referentin im Referat für Allgemeine Rechtsangelegenheiten und Datenschutz ebenda. Zu ihrem Aufgabengebiet gehört die Bekämpfung verbotener Sendeanlagen sowie die Sensibilisierung der Bevölkerung hinsichtlich eines bewussten Umgangs mit entsprechenden Vorrichtungen. Diese sind solche, die in Gegen­stän­den des täg­li­chen Gebrauchs ver­steckt sind und unbe­merkt Bild- oder Tonaufnahmen ermög­li­chen. Dabei sind sie sowohl von strafrechtlichem als auch von verwaltungsrechtlichem Interesse. Sie sind in Deutsch­land nach § 90 TKG ver­bo­ten. Bei dem umfassenden Verbot, welches die Einfuhr, den Vertrieb und auch den Besitz betrifft, handelt es sich um ein nationales Phänomen, welches dem Schutz der Privatsphäre und dem geschäftlichen als auch dem amtlichen Geheimnisbereich dient. Aus Gründen des effektiven Rechtsschutzes wurden diese Anknüpfungspunkte gewählt, da die eigentliche Handlung – das Abhören – in der Praxis kaum nachweisbar ist. Im laufenden Jahr wurden von der Bundesnetzagentur bereits über fünfhundert Verfahren eingeleitet.Abs. 22
Das besondere Gefahrenpotential ver­bo­tener Sen­de­an­la­gen liegt darin, dass sie geeignet und bestimmt sind, unbe­merkt Ton- oder Bild­auf­nah­men zu fer­ti­gen und diese kabellos zu ver­sen­den. Ihr optisches Erscheinungsbild ist zumeist unscheinbar, sodass keine Rückschlüsse auf eine eventuelle Aufzeichnung gezogen werden können. Die Verwender verbergen sie in Kin­der­uh­ren, GPS-Trackern, Kugel­schrei­bern, Power­banks oder ähnlichem. Anhand aktueller Beispiele der letzten zwei Jahre stellte Frau Dr. Schwecke mögliche Szenarien von Abhörangriffen dar. Insbesondere wies sie darauf hin, dass gerade auch unwissende Besitzer verbotener Sendeanlagen schutzbedürftig sein können. Diese können nämlich ihrerseits Opfer eines Abhördelikts werden.Abs. 23
Gerade im Hinblick auf das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 I GG sind klare Anforderungen an die Erkennbarkeit der Aufnahmetätigkeit moderner und multifunktionaler Sendeanlagen unabdingbar.Abs. 24
Im Übrigen gewährte Frau Dr. Schwecke einen Einblick in die Arbeitsweise der zuständigen Bundesnetzagentur und welche Handlungsmöglichkeiten dieser zur Seite stehen, um die typischen Gefährdungslagen zu bekämpfen. Zudem erläuterte sie, welche verbotenen Sendeanlagen insbesondere die Justiz bedrohen.Abs. 25
Vol­ker Birk ist Software-Entwickler des Chaos Com­pu­ter Clubs in Zürich und engagiert sich für die „Pretty Easy Privacy (p≡p) Foundation". Diese sieht das Recht auf Privatheit sowie das Recht auf informationelle Selbstbestimmung als unveräußerliche Menschenrechte an. Deshalb sei eine vertrauliche Kommunikation als Basis von IT-Großprojekten unverzichtbar. Insbesondere gelte dies für die Kommunikation zwischen Anwalt und Mandant, weshalb gerade Großprojekten wie dem besonderen elektronischen Anwaltspostfach (beA) eine besondere Stellung zukomme.Abs. 26
Er betonte dabei die Vielschichtigkeit des Problemkatalogs bei der Software-Entwicklung. Deren Probleme reichen von steigenden rechtlichen und technischen Anforderungen über Veränderungen der „tool chain" bis hin zu Umsetzungs- und Anwendungsbrüchen. Das Software-Engineering sei gerade keine „klassische Ingenieursdisziplin", da das Endprodukt an agile Entwicklungsprozesse anpassbar sein müsse. Es mangele an überprüfbaren Zwischenzielen und aussagekräftigen Testphasen.Abs. 27
Gravierend sei dabei, dass sich die Qualität einer Software erst bei der praktischen Anwendung zeige. Der Erfolg erscheint Volker Birk daher als kaum messbare Einheit. Daraus folge aber gerade die Problematik der IT-Großprojekte. Diese seien entscheidend von politischen Zwischenerfolgen abhängig.Abs. 28
Deshalb sei es notwendig, eine Brücke zwischen den Anwendern und den Kryptographen zu schlagen, die aufgrund unterschiedlicher Fachsprache und unterschiedlicher Arbeitsweise erst eine gemeinsame Basis begründen müssen. Diese erfordere wiederum eine verstärkt interdisziplinäre Zusammenarbeit. Volker Birk unterstrich somit erneut eindrucksvoll den Zweck von Veranstaltungen wie der Hacking Session und der Zusammenkunft von Wissenschaftlern und Praktikern unterschiedlichster Fachrichtungen. Nur so sei ein gemeinsamer Konsens und eine effektive Arbeitsweise zu erreichen.Abs. 29

Fazit

Abs. 30
Das HackerCamp als zukunftsorientiertes Konzept dient der Förderung der interdisziplinären Zusammenarbeit, wobei eine Basis der gemeinsamen Kommunikation und Interaktion geschaffen werden soll, die sowohl Auswirkungen auf das praktische Verständnis hat sowie als Wegweiser für die wissenschaftliche Forschung dienen soll. Im Vordergrund standen in diesem Jahr vor allem die Auswirkungen der DSGVO und Aspekte des sparsamen und bedachten Umgangs mit IT-Sicherheitssystemen und deren Anwendungen. Aufgrund des großen Andrangs zu der Veranstaltung ist mit einer Fortführung des Erfolgskonzepts „HackerCamp" auch im kommenden Jahr zu rechnen.Abs. 31

Fußnoten

* Cand. iur. Lena Leffer ist akademische Mitarbeiterin bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und dem Center for IT-Security, Privacy and Accountability (CISPA) Helmholtz-Zentrum i. G.
Forschungsschwerpunkte: eJustice, Legal Tech und Wirtschaftsstrafrecht sowie die spezifisch strafrechtliche Bewertung von technischen Angriffsszenarien.
E-Mail: lena.leffer@uni-saarland.de
 
Cand. iur. Karin Potel ist akademische Mitarbeiterin bei der juris-Stiftungsprofessur für Rechtsinformatik an der Universität des Saarlandes und dem Center for IT-Security, Privacy and Accountability (CISPA) Helmholtz-Zentrum i. G.
Forschungsschwerpunkte: Elektronischer Rechtsverkehr, E-Akte und die Darstellung der technischen Grundlagen sowie Wirtschaftsstrafrecht und spezifische strafrechtliche Bewertung von Cyberangriffen.
E-Mail: karin.potel@uni-saarland.de

 
(online seit: 06.11.2018)
 
Zitiervorschlag: Autor, Titel, JurPC Web-Dok, Abs.
 
Zitiervorschlag: Leffer, Lena, Hacking-Session beim 27. EDV-Gerichtstag - Praktische Demonstration zur IT-Sicherheit - JurPC-Web-Dok. 0150/2018